今天在线安全是一个非常重要的因素。许多企业完全基于网络,只有使用您的网络浏览器才能查看大量敏感数据。
寻求知识以保护我自己的应用程序我发现我经常测试其他应用程序的漏洞和安全漏洞,可能仅仅是为了好奇。通过测试自己的应用程序,阅读零日攻击并阅读书籍The Web Application Hacker's Handbook: Discovering and Exploiting Security Flaws,我对这一领域的了解得到了扩展,我逐渐意识到大多数在线Web应用程序确实暴露在很多安全性中孔。
那你做什么?我没有兴趣摧毁或破坏任何东西,但我最大的“突破”黑客攻击我决定提醒页面的管理员。我的询问被及时忽略了,安全漏洞尚未解决。他们为什么不想修理它?在有不良意图的人打破旅馆并选择摧毁一切之前会有多长时间?
我想知道为什么现在没有更多的关注这一点,我认为实际提供测试Web应用程序的安全漏洞会有很多商机。只是我有一个太大的好奇心,还是有其他人经历过同样的事情?挪威的法律实际上是试图闯入网页,即使您只是检查源代码并在那里找到“隐藏密码”,使用它进行登录,您已经违法了。
答案 0 :(得分:14)
我曾经在在线有声读物商店中报告了一个严重的身份验证漏洞,允许您在登录后切换帐户。如果我要报告此情况,我也很谨慎。因为在德国,法律也禁止黑客入侵。所以我匿名报告了这个漏洞。
答案是虽然他们无法自行检查此漏洞,因为该软件是由母公司维护的,但他们很高兴我的报告。
后来我得到了一个答复,他们确认了漏洞的危险性,现在已修复。他们想再次感谢我这份安全报告,并为我提供了iPod和有声读物信用作为礼物。
所以我确信报告漏洞是正确的方法。
答案 1 :(得分:10)
“我发现我经常测试其他应用程序的漏洞和安全漏洞,可能仅仅是为了好奇”。
在英国,我们有“计算机滥用法案”。现在,如果这些应用程序你谚语“看”是基于互联网而且互联网服务供应商的相关问题可能会受到调查(纯粹是出于政治动机),那么你就是在开放自己。即使做了最轻微的“测试”,除非你是BBC就足以让你在这里定罪。
即使渗透测试机构也要求希望进行正式工作的公司签字,以便为其系统提供安全保障。
为了设定对报告漏洞的难度的期望,我已经与实际的雇主讨论了一些相当严重的问题已被提出并且人们已经因为品牌损坏甚至完全关闭运营来支持数月。每年1亿英镑的E-Com环境。
答案 2 :(得分:6)
我经常联系网站管理员,虽然响应几乎总是“你打破我的javascript页面验证我会起诉你。”
人们只是不喜欢听到他们的东西坏了。
答案 3 :(得分:6)
告知管理员是最好的办法,但有些公司不会采取不请自来的建议。他们不信任或不相信来源。
有些人会建议你以破坏性的方式利用安全漏洞来引起他们对危险的注意,但我会建议不要这样做,因此你可能会有严重的后果。
基本上,如果你告诉他们这不再是你的问题(不是它首先出现的问题)。
确保您获得关注的另一种方法是提供有关如何利用它的具体步骤。这样,对于收到电子邮件进行验证的人来说,将更容易,并将其传递给合适的人。
但是在最后一行,你欠他们什么都没有,所以你选择做的就是伸出你的脖子。
此外,您甚至可以为自己创建一个新的电子邮件地址,用于提醒网站,因为正如您所提到的,有些地方甚至是非法的甚至验证漏洞利用,有些公司会选择追踪您而不是安全漏洞。
答案 4 :(得分:6)
如果它不影响许多用户,那么我认为通知网站管理员是您可以做的最多的事情。如果漏洞利用具有广泛的分支(如Windows安全漏洞),那么您应该通知有能力解决问题的人,然后给他们时间来修复它然后发布漏洞利用(如果发布它是你的意图)。
很多人都抱怨利用出版物,但有时候这是获得回应的唯一方法。请记住,如果您发现了漏洞利用,那么利他主义意图较少的人很可能已经找到它并且已经开始利用它。
编辑:在您发布可能损害公司声誉的任何内容之前咨询律师。
答案 5 :(得分:3)
我和你一样经历过同样的经历。我曾经在一家oscommerce商店找到了一个漏洞利用程序,您无需付费就可以下载电子书。我写了两封邮件: 1)oscommerce的开发者,他们回答“已知问题,只是不使用这个paypal模块,我们将无法解决” 2)店铺管理员:根本没有答案
实际上我不知道最好的行为方式是什么......甚至可能会公开漏洞来迫使管理员做出反应。
答案 6 :(得分:3)
联系管理员,而不是业务型人员。一般来说,管理员会感谢通知,并且在事情发生之前有机会解决问题并且他会受到指责。律师参与的渠道越高,或者客户服务人员将要经历的渠道越来越多。
我是一群报告我们偶然发现大学NAS系统问题的人的一部分。管理员非常感激我们发现了这个漏洞并报告了它,并代表我们与他们的老板争辩(负责人想把我们钉在十字架上)。
答案 7 :(得分:2)
我们通知主要开发人员他们的登录页面上有一个sql注入漏洞。说真的,这是经典的'<your-sql-here>--种类。您无法绕过登录,但您可以轻松执行任意sql。仍然没有在2个月内修复!不知道现在该做什么...我办公室里没有其他人真正关心,这令我感到惊讶,因为我们为每一个小升级和新功能支付了这么多。当我考虑代码质量以及我们在这个软件中投入多少股票时,它也让我感到害怕。